「情報セキュリティの敗北史」にならないための 組織的アプローチ 2025.02.14 セキュアスカイ What’s Up

自己紹介（公開用） 2 名前：ニキヌス（X:@nikinusu） 所属：金融JTCのシステム子会社 嫌いなもの：しいたけ

はじめに ⚫ セキュリティ文化醸成や教育について、弊社の試行錯誤と書籍「情報セキュリティの敗北史」を踏 まえ、現実的で継続可能なアプローチを考えます。 ⚫ 途中、参加者の皆さんともQAやディスカッションしたいと思いますので、ぜひ「ウチならどうか？」を 教えてください。 画像引用：https://www.hakuyo-sha.co.jp/science/security/

組織全体向け • IaC活用 • コード生成AI活用 • チェックリスト評価の極小化 • 犠牲の大きな対策からの脱却 現場向け 「やらせるセキュリティ」を減らす 意識付け • SAST活用 • ポスチャマネジメント • 開発の伴走型支援モデル • 脅威モデリングワークショップ • セキュリティ要件 虎の巻 • セキュリティ事案ストーリーテリング • プロジェクト炎上経験 • セキュリティ担当 社内有名人化 • 双方向の対話 やれる仕組みを作る 意識高い層向け • セキュリティ”ﾁｮｯﾄﾜｶﾙ”化 • 視界の共有 • モチベーション維持 「現場の仲間」になってもらう 「外柔内剛の意識」の醸成 • チーム内の会話 • 社外に出る セキュリティ担当向け 人を根付かせる組織制度 • 経験、刺激 • 発揮の機会 • 役職 • 金銭的報酬 • 学習費用 「4つのスキル」の育成 • 資格取得 • ハンズオン学習 • 講師、登壇経験 • 気軽なアウトプット • コミュニケーション • 社外活動 • 心理的安全 • 金銭的安心 本日のサマリ 4

目次 1. これまでの取り組みと実情 ：15分 2. 現場への多層アプローチ ：25分 3. セキュリティ担当はつらいよ ：20分 セクションごとにQA・ディスカッションタイムをはさみます

Section1. これまでの取り組みと実情

前提：当社の環境特性 ⚫ 金融＆大企業なので、他業種に比べるとセキュリティ意識は高め。プロセスも重厚 ⚫ システム会社なので、従業員のセキュリティ意識＝プロダクトのセキュリティレベルに直結 7

これまでの取り組み 8 プログラム開発を学ぶ新人向 けにサイバー攻撃を実演 新人向け研修 3 システム開発におけるベース ライン要件の整備、開発プ ロセスへの組込、教育 セキュリティ要件整備・教育 1 社内外のセキュリティ事案を 踏まえた意識啓発 全社員向けe-ラーニング 2 システム担当を巻き込んだイ ンシデント対応ウォークスルー インシデント対応訓練 4 各プロジェクトがヤワヤワのうち に相談してもらう駆け込み寺 運用リスク相談会 5 要件整備や研修、訓練など、一般的なことは概ね実施 なかでも①と⑤にはかなりのパワーを割いてきた ※他、不審メール訓練なども行っているが担当外

組織の実情 実際、現場はしっかりやってくれている 細かいルールの遵守、積極的な相談持ち込み、etc 9 1日で • 相談対応16件（メール・チャットと打ち合わせ） • チェックリストレビュー6件 （チーム全体で見れば×2くらい）

組織の実情 とはいえ、いろんな人がいる… 10 意識高い層 自分なりにリスク分析、新たなセキュリティ要件への積極対応（レア） 中くらい層 とりあえずセキュリティ担当に相談（丸投げ相談も含む） 低い層 最低限のルールは守るが骨抜き化 ※上の記載は便宜上の区分であり、いずれかを批判・揶揄するものではありません

なぜ意識が高い/低いのか？ 11 高い人の傾向 低い人の傾向 • 共通インフラや基幹システムの担当 担当システムで問題が起きた時の影響がイメージ しやすい • 新しい技術に取りくむ 未知のリスクへの恐怖心がある • 痛い目にあったことがある セキュリティ問題によりプロジェクトのリリースが危ぶま れたり、インシデントに巻き込まれたことがある • 各要件の目的が腹落ちしていない • プロセスが重すぎて疲れている • 何をすればいいのか分からない →知識やプロセスの問題 表層 プロセスやツールに支えられた意識的な部分 深層 内部の価値感や信念。無意識的な部分 • 恐怖を肌で感じていない • 担当システムの重要度的にそこまでやらなくて も良いと思っている • 本人の性格的な問題（他責志向） その意識には理由がある。理由にあわせたアプローチが必要

組織の実情 脆弱性も少ないわけではない… 12 • 一定期間に手動診断をかけたうち約7割が何らかの指摘有（74件・19種類） • セキュリティチェックリストに明記されていたものは15種類 • 手動診断前のDASTで検知できたと思われるものは14種類 レベル別検出数 Level 件数 HIGH 4 MEDIUM 19 LOW 51 合計 74 種類別検出数 項番 指摘項目 CL記載 DAST 件数 1 詳細なエラーメッセージの表示 〇 〇 2 ログアウト機能の不備 〇 〇 3 クロスサイトスクリプティング 〇 〇 4 内部IPアドレスの表示 ー △ 5 HTTPSのCookieにSecure属性の指定なし 〇 〇 6 URLに重要な情報を格納 〇 〇 7 パラメータ改ざんによるシステムの不正利用 〇 ー 8 Cookieに重要な情報を格納 ー ー 9 エラー表示による利用者の存在確認が可能 〇 〇 10 ログアウト機能の未実装 〇 ー 11 強制ブラウジング ー ー 12 CookieにHttpOnly属性の指定なし 〇 〇 13 HTMLタグの実行が可能 〇 〇 14 SQLインジェクション 〇 〇 15 管理者用ページの閲覧が可能 ー 〇 16 権限変更昇格が可能 〇 〇 17 システム障害 〇 〇 18 内部パスの表示 〇 〇 19 メールの送信先を変更可能 〇 ー 合計 74 非 開 示

この章のまとめ 13 ⚫ 元々の環境特性 + 各種教育の取り組みにより 基本的にはルール順守や積極的な相談が行われる組織 ⚫ しかし、個人レベルでは意識の低い人が存在し、脆弱性も少なくない課題 ⚫ 意識の低さは、表層から深層まで複数の要因が考えられ、それぞれの理由を 踏まえた多層的なアプローチが必要

Section2. 現場への多層アプローチ

意識が低いなら文化醸成のための研修が必要だね 15 確かに意識啓発は必要。しかし、それ中心のアプローチは筋悪 ⚫ 個人の価値観や意識は簡単には変わらない ⚫ プロセスは非効率なまま意識改革だけ行うのはエゴの押し付けでは？

意識が変わるケースもある 16 ⚫実際に自組織で大規模インシデントが起きた場合 ⚫経営が超強力なメッセージを出し、インセンティブに繋げた場合 2002年にビルゲイツがマイクロソフトの全従業員に送ったメール「Trustworthy Computing」 → しかし、日本の事業会社でマイクロソフトと同様の動きはなかなか難しい • セキュリティは「私たちが行うすべての仕事の中で最優先されるべきもの」と述べている • 「もしいま、機能の追加とセキュリティ問題の解決の選択を迫られることがあるなら、私たちはセキュリティ問題の方を選択 しなければならない」と彼は述べた。 • マイクロソフトのソフトウェアエンジニアが受け取る昇給やボーナスなどの金銭的な報酬も、製品のセキュリティと連動する ようになった。 引用：（白揚社）情報セキュリティの敗北史

目指す方向性とアプローチ 17 （１）IT部門全体向け（１／３） 1. 「人にやらせるセキュリティ」を減らすためにプロセスやツールの最適化 2. やらせる部分は、やれる仕組みを作る 3. あわせて意識付け 方向性 主軸 「なぜジョニーは暗号化できないのか」 理想は、ジョニーが「暗号化」を必要としない、つまりセキュリティを実現するためにさまざまな作業を行う必要がない状態だ 引用：（白揚社）情報セキュリティの敗北史

目指す方向性とアプローチ 18 （１）IT部門全体向け（１／３） 1. 「人にやらせるセキュリティ」を減らすためにプロセスやツールの最適化 2. やらせる部分は、やれる仕組みを作る 3. あわせて意識付け 方向性 Before After インフラ構築 各自で設計・設定 Infrastructure as Codeによる 自動プロビジョニング コーディング 各自でコーディング コード生成AIの活用（※） 開発プロセス 膨大なチェックリスト回答・評価 診断や設定チェック中心の評価プロセス （チェックリスト評価の極小化） Web閲覧 利便性の低いWeb分離環境での閲覧、 ファイル取り扱い 脅威対策の全体バランスの最適化 ※記載には取り組み中/予定のものを含みます （※）生成AIが脆弱なコードを出力するリスクは別途ケアが必要

自社セキュリティ要件（200個）のうち52%が負担減の見込み有 裏返すと、他は人が頑張るしかない 34% 48% 18% ＜ソリューションにより負担減＞ • CASB • CIEM • PAM • SIEM • SAST • 構成管理 • 脆弱性管理 ＜基盤の共通化により負担減＞ • DNS • クラウド基盤 • クラウド統制基盤 • セキュリティゲートウェイ • ネットワーク • プロキシ • メール • ログ集約 • 認証 • 本番踏み台 • 特定情報の取り扱い環境 • その他 ＜個別実装が必要＞ • システム個別要素の強い要件 • 運用プロセス系 目指す方向性とアプローチ ※記載には取り組み中/予定のものを含みます

目指す方向性とアプローチ 20 （１）IT部門全体向け（２／３） 1. 「人にやらせるセキュリティ」を減らすためにプロセスやツールの最適化 2. やらせる部分は、やれる仕組みを作る 3. あわせて意識付け 方向性 CI/CDパイプラインへ のSAST組み込み ポスチャマネジメントに よる設定チェック セキュア開発の 伴走型支援モデル 脅威モデリング ワークショップ セキュリティ要件 虎の巻 ※記載には取り組み中/予定のものを含みます •開発者自身がリスク 分析を考えられる •開発者自身が脅威と 対策を考えられる •脆弱性の早期発見 •脆弱性の是正 （具体的な箇所の 明示） •脆弱性の早期発見 •脆弱性の是正 （具体的な箇所の 明示） •危険な設計の早期 発見 •開発スピードとセキュリ ティの両立

21 プロセス最適化の限界 プロセスが整ったとしても、人の判断 や行動が必要な部分は必ず残る 新対策導入の円滑化 新しい対策推進の際に現場の協 力が得られず、進捗が遅くなる モラルハザードの防止 プロセスやツールだけが整うと、リスク 補償理論により、人は安心して危 険な行為を行う可能性がある（※） 「多層防御があるならパッチいらないじゃん」 前頁で負担減できない部分は個別実装が必要なので、やはり意識付けも必要 ※ある活動に安全や安心を向上させる対策を導入すると、その活動に参加する人々は、リスクのレベルを以前と同じ水準まで引き上げてしまう傾 向がある（中略）リスク補償理論で説明すると、ドライバーはシートベルトを着用することで安全だと感じ、そのためよりスピードを出してしまうのだ。 引用：（白揚社）情報セキュリティの敗北史 目指す方向性とアプローチ

目指す方向性とアプローチ 22 （１）IT部門全体向け（３／３） 1. 「人にやらせるセキュリティ」を減らすためにプロセスやツールの最適化 2. やらせる部分は、やれる仕組みを作る 3. あわせて意識付け 方向性 ※記載には取り組み中/予定のものを含みます 正しく恐怖を感じてもらう セキュリティ事案 ストーリーテリング 安心して頼れる先を作る • 気づけなかった理由 • 初動を判断できなかった理由 • 攻撃者からの恐喝 • 事業と現場への影響 • 異常事態ならではの失敗談 プロジェクト 炎上経験 • リリースの危機 • 組織レベルの問題化 （最後はちゃんとゴールまでフォロー） セキュリティ担当 社内有名人化 双方向の対話 • ニュース発信 • 顔出し研修 • とにかく発言 • 愚痴、文句、疑問を受け取れる場 作り

目指す方向性とアプローチ 23 視界の共有 セキュリティ戦略の全体像や将来像 と進捗の可視化・共有 モチベーション維持 ア プ ロ ー チ セキュリティデザインエキスパート制度 （現状は見直すべき課題あり） 本人への感謝に加え、経営層や組 織長への貢献のアピール － （施策ではなく日常のコミュニケーションとして） 施 策 例 （ 予 定 含 む ） （２）意識高い層向け 「現場の仲間」になってもらう 方向性 セキュリティ”ﾁｮｯﾄﾜｶﾙ”化 組織全体向けよりも詳しい脅威や 対策、攻撃事例の知識を伝える

この章のまとめ 24 ⚫ 深層的な意識の改革は不可能ではないが非常に難しいし、それを中心にすべきではない ⚫ 「人にやらせるセキュリティ」を減らすためのプロセスやツールの最適化を主軸とし、 あわせて仕組み化、意識付け ⚫ 強い組織作りのために「現場側の仲間」は極めて重要 意識が高いメンバにセキュリティ担当の視界を共有し、仲間に引き込む

Section3. セキュリティ担当はつらいよ

セキュリティ担当はつらいよ 26 「人にやらせるセキュリティ」を減らす＝セキュリティ担当の負担は増える プロセスやツールを最適化できるスキルと、現場の事情を配慮できる意識が必要 非常に高い理想だからこそ、実は最も教育が必要なのはセキュリティ担当かもしれない

意識へのアプローチ 27 「外柔内剛の心」の醸成 近道はなく、日々の会話や外での刺激など地道な積み重ね 外柔内剛の心 • 意識が低い人の立場や心情を察する柔軟性 • 自分達のプロセスやツールの問題を内省する 客観性 • セキュリティを推進する鋼の心 • チーム内のデイリー夕会 各メンバが受けた相談について、回答のすりあわせだけでなく 「どんな気持ちで受け止めたか」を話し合う（愚痴でもOK） • 社外に出る 他社のセキュリティ文化や自社の強み弱みを知る 「豚のダンスとセキュリティのどちらかを選ぶよう迫られたら、ユーザは常に豚のダンスを選ぶだろう」 表面的には、セキュリティの選択についてユーザがどれだけ無頓着であるかを、セキュリティ専門家が嘆いているように聞こえる。 しかし同時にこの格言は、セキュリティ専門家がユーザはなぜそうするのかを理解していないことも明らかにしている 引用：（白揚社）情報セキュリティの敗北史

28 ユーザ企業セキュリティの本質は「ビジネスをセキュリティ面から支援すること」 そのためには、専門知識から知識を活かすスキルまで幅広く必要 • 企画力 • コミュニケーション • ロジカルシンキング • 説明、プレゼン • 継続学習 ソフトスキル • 当社環境の鳥瞰 • 各システムの構成 • 各種プロセス、ルール • 組織体制、役割 自社環境 • セキュリティの基礎、考え方 • レッド系、ブルー系の技術 • フレームワーク、ガイドライン • 法令、規制動向 • 他社動向 セキュリティ • ネットワーク • サーバ • API • クラウド • システム開発 テクノロジー全般 スキルへのアプローチ

29 ユーザ企業セキュリティの本質は「ビジネスをセキュリティ面から支援すること」 そのためには、専門知識から知識を活かすスキルまで幅広く必要 • 企画力 • コミュニケーション • ロジカルシンキング • 説明、プレゼン • 継続学習 • 当社環境の鳥瞰 • 各システムの構成 • 各種プロセス、ルール • 組織体制、役割 • セキュリティの基礎、考え方 • レッド系、ブルー系の技術 • フレームワーク、ガイドライン • 法令、規制動向 • 他社動向 セキュリティ • ネットワーク • サーバ • API • クラウド • システム開発 テクノロジー全般 スキルへのアプローチ ソフトスキル 自社環境

30 資格取得 セキュリティチームに入った社員はCISA取得必須 加えてCISSP、CISMなども各自積極的に取得 • CISA （公開用に削除）名 • CISM （公開用に削除）名 • CISSP （公開用に削除）名 • RISS （公開用に削除）名（未登録含む） など（代表的なものだけ抜粋）

31 セキュリティ • ネットワーク • サーバ • API • クラウド • システム開発 テクノロジー全般 スキルへのアプローチ • 企画力 • コミュニケーション • ロジカルシンキング • 説明、プレゼン • 継続学習 ソフトスキル • 当社環境の鳥瞰 • 各システムの構成 • 各種プロセス、ルール • 組織体制、役割 自社環境 ユーザ企業セキュリティの本質は「ビジネスをセキュリティ面から支援すること」 そのためには、専門知識から知識を活かすスキルまで幅広く必要 • セキュリティの基礎、考え方 • レッド系、ブルー系の技術 • フレームワーク、ガイドライン • 法令、規制動向 • 他社動向

32 必修：「Junior Pentester」Learning Path 1.サイバーセキュリティ基礎 2.ペネトレテスト基礎 3.Webハッキング基礎（列挙、認証バイパス、インジェクション攻撃など） 4.Webセキュリティテストツール（Burp Suite）の使い方 5.ネットワーク探索・攻撃 6.脆弱性の調査・悪用 7.攻撃フレームワークツールの利用 8.権限昇格手法 応用：「Offensive Pentesting」 Learning Path ・LinuxやWindowsサーバの探索・侵害・権限昇格 ・バッファオーバーフロー攻撃 ・Active Directory環境の列挙・横展開・攻撃・永続化 など セキュリティ×レッド学習 オンライン学習プラットフォーム「TryHackme」に7名でチャレンジ 全員の必修コースを定め、攻撃の幅広い手法・目線・しつこさを学ぶ 画像引用：https://tryhackme.com/r/room/brainpan

33 セキュリティ×ブルー学習 金融業界横断のハンズオン演習に参加 普段携わらないログ解析に触れることで、実務において取得すべきログを具体的に理解する

34 ユーザ企業セキュリティの本質は「ビジネスをセキュリティ面から支援すること」 そのためには、専門知識から知識を活かすスキルまで幅広く必要 • 企画力 • コミュニケーション • ロジカルシンキング • 説明、プレゼン • 継続学習 ソフトスキル • 当社環境の鳥瞰 • 各システムの構成 • 各種プロセス、ルール • 組織体制、役割 自社環境 • セキュリティの基礎、考え方 • レッド系、ブルー系の技術 • フレームワーク、ガイドライン • 法令、規制動向 • 他社動向 セキュリティ • ネットワーク • サーバ • API • クラウド • システム開発 テクノロジー全般 スキルへのアプローチ

35 ワークショップ企画、登壇 ソフトスキルは経験しないと伸ばせない 基本はOJTだが、社内教育講師やワークショップ企画を通して特に「伝え方」を学ぶ

36 （その他）勉強共有会 学習したことを気軽にアウトプットする場であり、人の頑張りを見て焦る場 調べてみた • 特権昇格の手法から考える予防策 • PowerAutomate活用のススメ • ATT&CKが色々勉強になるという話 • パスワード管理の推奨事項 • LLM系の勉強会 • CISA_RedTeam演習 作ってみた • 内製でリアルタイム改ざん検知ができるのか • OpenSCAPで危険なRHELの設定の自動特定・ 自動是正してみた 行ってみた • ホワイトハッカー研修まとめ • HackFes2024 • サイバーセキュリティワークショップin越後湯沢 考えてみた • チェックリスト極小化 • 脅威モデリング 攻略してみた • TryHackme Wonderland攻略

37 教育の先にある悩み よしよし、だいぶメンバも育ってきたぞ。 新しいことにチャレンジする余力が出てきた…！

38 人を根付かせる組織制度 「成長できる」「価値を発揮できる/認められる」組織の仕組み作り • 下の段階から満たしていく • 上の段階はセキュリティ担当が経営層・人事部門と連携して変えていく マズローの欲求5段階説 観点 取り組み例 自己実現欲求 • 経験、刺激 • 発揮の機会 • 意義ある/最新技術に触れられる仕事を作る • 得意分野を活かせるポストの用意 承認欲求 • 役職 • 金銭的報酬 • 学習支援 • 高度専門人材向けの役職、処遇の調整 • 研修費、資格取得、更新費の補助調整 社会的欲求 • コミュニケーション • 社外活動 • チーム内での会話を増やす • コミュニティ活動や社外登壇を増やしてメンバも 出やすくする 安全の欲求 • 心理的安全 • 金銭的安心 • 発言しやすい雰囲気、人間関係づくり • 普通の生活に困らない収入 生理的欲求 日本では組織が用意する必要があまりないので割愛 sec 担 当 の 意 識 次 第 経 営 ・ 人 事 部 門 と の 連 携

この章のまとめ 39 ⚫ セキュリティ担当は意識面・スキル面ともに磨く必要がある ⚫ 意識面はチーム内のコミュニケーションと社外に出ることで広い目線を持つ ⚫ スキル面は楽しみながらアクティブラーニング ⚫ 魅力的な人材を確保するための組織制度にも 踏み込めるとなお良し

「情報セキュリティの敗北史」とは何か 40 （書籍では複数挙げられているが、主要な１つは） 「人に期待したセキュリティ」は大抵失敗する、ということ この研究では、適切な判断を下すための十分な知識をユーザーが身につけることは可能である、と仮定する傾向があった。しかし時が経つに つれ、これは不確かな仮定であることが明らかになる。（略） なぜなら人々は、長期間にわたって多くのセキュリティ上の決断に追われ、そのすべてにおいて正しい判断を下すことなどできないからだ。 引用：（白揚社）情報セキュリティの敗北史 コンピュータセキュリティの根本的なジレンマとは、セキュリティを望む人々が、セキュリティを評価・改善するための判断能力に欠けていることを 言う。このジレンマをユーザーの教育によって解決しようとする試みは、ほとんど成功していない。したがって、ユーザーがより良い選択をできるよ うに手助けするのではなく、単にユーザーの選択肢を減らす方がよいのだ。 こうしたユーザーがセキュリティガイダンスを無視したのは実際には合理的であり、非現実的なセキュリティガイダンスにユーザーが従うことを期 待して非合理的な行動を取っていたのは情報セキュリティの分野である、ということだ。

41 「敗北史」にならないために 最終的に目指すのは、組織に元からある「セキュリティ大事」の意識が無理なく行動に繋がる ＝文化として継続できる組織

ありがとうございました